Итоги развития законодательства в 2010–2020 гг.
Период с 2010 по 2020 год можно по праву назвать десятилетием становления и развития законодательства в сфере информационных технологий. Мы выделили три ключевых законодательных тренда, которые, на наш взгляд, не потеряют актуальности и в ближайшем будущем.
Информационный суверенитет
В начале 2010-х деятельность в сети Интернет не считалась сферой, нуждающейся в особом регулировании. Переломным моментом можно назвать 2012 год, когда появились первые основания для блокировки информационных ресурсов. Следствием усиления контроля за информацией, распространяемой в сети Интернет, стало появление новых участников информационных отношений. На них был возложен широкий круг обязанностей – от модерации контента до идентификации пользователей, а на некоторых в том числе и обязанность соответствовать требованиям в части иностранного контроля.
Тренд, связанный с усилением контроля за распространяемой информацией, характеризуется принятием триады законодательных актов: 1) так называемого «закона Яровой», который обязал операторов связи и организаторов распространения информации длительное время хранить определенные данные о коммуникации пользователей; 2) закона о «суверенном Интернете», который в ряде случаев позволит осуществлять прямой контроль над информационным пространством; 3) закона о безопасности критической информационной инфраструктуры.
Еще одним серьезным изменением в сфере обеспечения информационного суверенитета России стало введение ограничений на хранение определенных данных на зарубежных серверах. В законодательство о персональных данных были внесены поправки о «локализации» персональных данных российских граждан на территории РФ. Данная мера впоследствии нашла свое развитие в «законе Яровой». С учетом того, что идея локализации отдельных категорий данных в России закреплена в качестве принципа в Стратегии развития информационного общества в РФ на 2017–2030 годы (далее – «Стратегия»), существует вероятность, что ограничения по территории хранения тех или иных данных будут внедряться в законодательство и в будущем.
Важным трендом десятилетия также является детализация административных составов и существенное величение сумм штрафов за нарушение информационного законодательства.
Курс на импортозамещение
В середине 2010-х Россия взяла курс на импортозамещение в сфере ИТ. Был принят ряд поправок, направленных на ограничение использования иностранного программного обеспечения и стимулирование использования программ российского производства. Изначально эти меры в основном касались ограничения допуска иностранного ПО к участию в государственных и муниципальных закупках. Для учета российских программ был создан единый реестр российских программ для ЭВМ и баз данных (сокращенно также «единый реестр российского ПО»), который в 2015 году насчитывал более 2500 наименований, а на конец 2020-го – уже около 9000 наименований. Требование об импортозамещении было распространено и на встроенное программное обеспечение, которое предоставляется в том числе потребителям.
Цифровизация
Формирование в России цифровой экономики – одна из ключевых целей, определенных в Стратегии. Основные законодательные инициативы в этой сфере направлены на снятие нормативных барьеров, разработку технически нейтрального законодательства и цифровизацию правоотношений, традиционно складывающихся исключительно в офлайн-среде. В последние годы были приняты различные законодательные изменения, цель которых – обеспечение перехода к цифровым государственным услугам и электронному взаимодействию с судами и нотариусами, развитие электронной коммерции, телемедицины и цифровизация промышленности.
ТОП-10 изменений в ИТ-законодательстве 2020 года
1. Изменения в правилах обработки общедоступных персональных данных
С 1 марта 2021 года вступили в силу изменения, внесенные в ФЗ «О персональных данных» (далее – «Закон о ПДн») в части обработки персональных данных, подлежащих распространению (далее – «Закон № 519»).
Закон № 519 вводит новый термин «персональные данные, разрешенные субъектом ПДн для распространения» – это данные, к которым субъект предоставил доступ неограниченного круга лиц путем дачи специального согласия. Одновременно утрачивает силу положение п. 10 ч. 1 ст. 6 Закона о ПДн, представляющее собой самостоятельное основание для обработки персональных данных, сделанных субъектом общедоступными. Таким образом, осуществлен переход от фактических действий субъекта, направленных на раскрытие своих персональных данных, к формализованному разрешению на определенное использование раскрываемых субъектом данных.
В соответствии с новой статьей 10.1 Закона о ПДн согласие на обработку персональных данных, разрешенных для распространения (далее – «Согласие»), оформляется отдельно и может быть предоставлено оператору непосредственно либо с использованием информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее – «РКН»).
Разрешение на распространение персональных данных и отсутствие особых условий обработки и запретов на обработку персональных данных должны явным образом следовать из текста Согласия. Не позднее трех рабочих дней с момента получения Согласия оператор обязан опубликовать информацию об условиях обработки и наличии установленных субъектом запретов на обработку неограниченным кругом лиц его персональных данных.
Изменения не имеют обратной силы и не обязывают операторов получать (обновлять) согласия пользователей, чьи данные уже обрабатываются на момент вступления Закона № 519 в силу, однако с 1 марта 2021 года субъект персональных данных вправе в любое время обратиться к любому лицу, обрабатывающему его персональные данные без законных оснований, с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных. Оператор обязан прекратить передачу таких персональных данных в течение трех рабочих дней с момента получения соответствующего требования субъекта, а если субъект обратился в суд – то в срок, указанный во вступившем в законную силу решении суда (при отсутствии срока в решении суда – в течение трех рабочих дней с момента вступления в силу решения суда).
Закон № 519 не содержит явных правил соотношения норм новой ст. 10.1 и ч. 1 ст. 6 Закона о ПДн в части возможных оснований для обработки персональных данных, помимо Согласия. С учетом системного толкования норм представляется, что ст. 10.1 в целом должна регулировать отношения, связанные с обработкой таких персональных данных, доступ к которым предоставлен по воле субъекта, а на персональные данные, которые могут подлежать распространению помимо воли субъекта (например, в силу требования ФЗ об обязательном опубликовании персональных данных), действие новых норм не распространяется.
В пользу этого говорит и указание в ст. 10.1 на то, что в случае раскрытия персональных данных неопределенному кругу лиц самим субъектом без предоставления Согласия, а также в случае если данные оказались раскрытыми по независящим от субъекта обстоятельствам (правонарушение/форс-мажор), обязанность предоставить доказательства законности последующего распространения или иной обработки таких персональных данных лежит на каждом лице, осуществившем их распространение или иную обработку.
2. Дополнительные обязанности социальных сетей
С 1 февраля 2021 года вступили в силу изменения, внесенные в Федеральный закон «Об информации, информационных технологиях и о защите информации» (далее – «Закон об информации») в части регулирования социальных сетей (далее – «Закон № 530»).
Закон № 530 устанавливает обязанности для владельцев социальных сетей, неисполнение которых грозит штрафами до 8 млн рублей, а также штрафами в 1/10 от совокупной выручки за год. Владельцем социальной сети Закон № 530 признает следующий круг лиц: 1) владелец сайта; 2) владелец страницы сайта; 3) владелец информационной системы; 4) владелец программного обеспечения (далее – «ПО»).
На владельцев социальных сетей действие новых норм распространяется, если:
1) сайт, страница сайта в сети Интернет, информационная система или ПО для ЭВМ (далее – «Социальная сеть») предназначены и (или) используются пользователями для предоставления и (или) распространения информации посредством созданных ими персональных страниц;
2) распространение информации осуществляется на русском языке, а также государственных языках республик или иных языках народов РФ;
3) в Социальной сети может распространяться реклама, направленная на привлечение внимания потребителей, проживающих на территории РФ;
4) ежесуточный доступ к Социальной сети составляет более 500 тыс. пользователей, находящихся на территории РФ.
Реестр владельцев социальных сетей РКН формирует самостоятельно по результатам интернет-мониторинга. Информацию для идентификации владельцев социальных сетей РКН вправе потребовать от провайдеров хостинга и иных лиц, обеспечивающих размещение Социальных сетей.
Закон № 530 возлагает на владельцев социальных сетей обширный перечень обязанностей:
1) не допускать использования ресурса для совершения уголовно наказуемых деяний и распространения определенных категорий информации (охраняемая законом тайна, экстремистские материалы, порнография, нецензурная брань, информация, порочащая гражданина или отдельные категории граждан);
2) осуществлять мониторинг в целях выявления запрещенных материалов (в частности, детской порнографии, информации о производстве и употреблении наркотиков, информации о призывах к массовым беспорядкам, экстремистской деятельности, к участию в несогласованных публичных мероприятиях, фэйк-ньюс);
3) соблюдать запреты и ограничения, предусмотренные законодательством о выборах и референдумах; права и законные интересы граждан и организаций, в том числе честь, достоинство и деловую репутацию граждан, деловую репутацию организаций;
4) размещать определенную контактную информацию, документ, устанавливающий правила использования социальной сети, а также электронную форму для обращений о распространяемой с нарушением закона информации (требования к ней установит РКН) и отчет о результатах рассмотрения обращений;
5) информировать каждого пользователя о внесении изменений в правила использования социальной сети в течение трех дней со дня внесения таких изменений; о принятых мерах по ограничению доступа к его информации, а также об основаниях для такого ограничения;
6) установить одну из предлагаемых РКН программ для определения количества пользователей.
3. Урегулирован выпуск и оборот цифровых финансовых активов, определены «криптовалюты»
31 июля 2020 года Президентом РФ подписан Закон «О цифровых финансовых активах, цифровой валюте и о внесении изменений в отдельные законодательные акты Российской Федерации» № 259-ФЗ (далее – «Закон № 259»), которым вводится регулирование оборота цифровых финансовых активов и определяется несколько базовых понятий в отношении криптовалют (цифровых валют).
Россия постепенно складывает пазл под названием «регулирование рынка цифровых активов». Закон № 259, появившийся в 2020 году, стал уже третьим специальным законом в этой сфере. Ранее, в 2019 году, появились первые два элемента пазла: сначала был принят закон, вводящий цифровые права в главу 6 ГК РФ, затем – закон о привлечении инвестиций с использованием инвестиционных платформ (далее – «Закон о краудфандинге»). Не хватает последнего крупного элемента – отдельного закона, регулирующего выпуск и оборот криптовалют, хотя перспектива появления «цифрового» рубля становится все более реальной.
Закон № 259 не только определил виды цифровых финансовых активов (далее – «ЦФА»), но и ввел систему регулирования их выпуска и оборота, попутно изменив законодательство об акционерных обществах, о рынке ценных бумаг, о рекламе, о противодействии отмыванию преступных доходов и коррупции и ряд других законов. Закон № 259 нацелен на формирование нового рынка финансирования, более гибкого и легкого по части регуляторных требований, чем рынок ценных бумаг.
Закон № 259 определяет ЦФА как разновидность предусмотренных ст. 141.1 ГК РФ цифровых прав, которые включают денежные требования, возможность осуществления прав по эмиссионным ценным бумагам, права участия в капитале непубличного АО и права требовать передачи эмиссионных ценных бумаг, предусмотренных решением о выпуске ЦФА.
Выпуск и рекламирование ЦФА обусловлены размещением в сети Интернет решения о выпуске, соответствующего требованиям Закона № 259 и ЦБ РФ.
Подчеркнем, что ЦФА не изолированы от утилитарных цифровых прав и рынка ценных бумаг. Допускается выпуск гибридных цифровых прав, удостоверяющих одновременно права, названные в Законе № 259, права, предусмотренные для утилитарных цифровых прав Законом о краудфандинге, и иные права. Также возможен выпуск ЦФА, базовым активом которых являются классические ценные бумаги, и ЦФА, позволяющих реализовывать права по таким бумагам.
Выпуск ЦФА возможен только в информационной системе, правила которой согласованы с ЦБ РФ на предмет соответствия Закону № 259 (далее – «Информационная система»). Все транзакции с ЦФА, включая обращение, обременение и погашение, могут осуществляться только в той информационной системе, в которой они были выпущены, и в соответствии с ее правилами (в исключительном случае возможен перенос данных в другую систему). Закон № 259 допускает использование Информационных систем, основанных не только на распределенном реестре (блокчейне).
Оператором Информационной системы (далее – «Оператор») может быть только внесенное в реестр ЦБ РФ российское юридическое лицо, и это лицо обеспечивает функционирование системы в соответствии с ее правилами, которые утверждаются ЦБ РФ. Должностные лица и состав участников Оператора должны отвечать требованиям Закона № 259. На Операторе среди прочего лежит ответственность за сбои функционирования Информационной системы, утрату информации, невыполнение правил Информационной системы, введение пользователей Информационной системы в заблуждение относительно ее функционирования.
Оборот ЦФА должен проводиться либо через Оператора соответствующей Информационной системы, если эта функция предусмотрена в ее правилах, либо через оператора обмена цифровых финансовых активов (далее – «Оператор обмена»), роль которого сходна с ролью организатора торгов. Оператором обмена также может выступать только российское юридическое лицо, включенное в реестр ЦБ РФ. Для Оператора обмена установлены дополнительные требования по размеру уставного капитала и чистых активов, а также ограничения на участие компаний из офшорных юрисдикций.
Сделки с ЦФА, заключающиеся через Оператора обмена, должны производиться только в соответствии с правилами обмена, которые должны соответствовать целому ряду требований и подлежат утверждению ЦБ РФ. Следует отметить, что положения Закона № 259 распространяются и на оборот в России ЦФА, выпущенных в иностранных информационных системах, хотя специальные правила регулирования таких операций пока не установлены.
ЦФА могут приобретаться любыми лицами, но Закон № 259 предоставил ЦБ РФ полномочие устанавливать ограничения на покупку ЦФА неквалифицированными инвесторами. Так, с начала 2021 года неквалифицированные инвесторы не могут приобретать иностранные ЦФА, ЦФА, которые позволяют реализовывать права по ценным бумагам, которые могут приобретаться только квалифицированными инвесторами, ЦФА без указания предельного срока исполнения удостоверяемых обязательств. Неквалифицированным инвесторам также не разрешено приобретать ЦФА (за некоторыми специально оговоренными исключениями) на сумму выше 600 000 рублей в год. Cтатус квалифицированного инвестора определяется в соответствии с критериями, предусмотренными законодательством о рынке ценных бумаг.
В отношении криптовалют Закон № 259 содержит всего несколько норм. Цифровые валюты признаются имуществом, им дается легальное определение. В частности, «цифровой валютой» считается совокупность электронных данных в Информационной системе, которые предлагаются в качестве средства платежа, не являющегося денежной единицей РФ, денежной единицей иностранного государства, международной денежной или расчетной единицей, или в качестве инвестиций, и в отношении которых отсутствует лицо, обязанное перед обладателем таких электронных данных, за исключением Оператора и (или) узлов Информационной системы, обязанных только обеспечивать соответствие порядка выпуска этих данных и осуществления в их отношении действий по внесению записей в такую Информационную систему согласно ее правилам. Определено еще несколько терминов, связанных с цифровыми валютами, но предусмотрено, что отношения, возникающие при выпуске, организации выпуска, учете и обращении цифровых валют, должны быть урегулированы отдельным законом.
Закон № 259 запрещает российским лицам и российским филиалам (представительствам) иностранных компаний принимать цифровую валюту в качестве встречного предоставления (оплаты) за товары, работы и услуги. Более того, устанавливается запрет распространять информацию о приеме (предложении) цифровой валюты в качестве встречного предоставления в России.
(Продолжение следует)
Виктор Наумов,
Управляющий партнер санкт-петербургского офиса Dentons,
руководитель российской практики в области ИС, ИТ и телекоммуникаций, соруководитель европейской практики в области регулирования Интернета и технологий